SecurID

ID RSA Secur
Industrie Parolă de unică folosință
Actual proprietar RSA Divizia de securitate a EMC
Tara de origine STATELE UNITE ALE AMERICII
Ambasadori ai mărcii Ronald Rivest ,
Adi Shamir
și Leonard Adleman
Slogan „Cel mai de încredere nume în securitatea computerelor” [1]
Site-ul web emc.com/security/… ​(  engleză)
 Fișiere media la Wikimedia Commons

SecurID (de asemenea RSA SecurID) este o tehnologie dezvoltată de RSA (cunoscută ulterior ca RSA The Security Division of EMC) pentru a oferi autentificare cu doi factori între utilizator și dispozitivele de rețea . Autentificarea cu doi factori RSA SecurID® se bazează pe cunoașterea parolei (sau PIN -ul) și pe că aveți cheia, oferind un nivel mult mai puternic de autentificare a utilizatorului decât parolele reutilizabile. Această soluție este singura soluție care schimbă automat parola la fiecare 60 de secunde. RSA oferă întreprinderilor o gamă largă de opțiuni de autentificare a utilizatorilor care le ajută să identifice cu încredere utilizatorii înainte de a putea interacționa cu date și aplicații esențiale din mai multe rețele și resurse.

Structura RSA SecurID

RSA SecurID include trei componente principale

Manager de autentificare RSA

RSA Authentication Manager este un standard de asigurare a identității. Acest sistem include toate cele patru funcții care sunt necesare pentru a asigura identitatea unei persoane: gestionarea acreditărilor bazată pe politica de autentificare a utilizatorilor, autentificare, autorizare și procesare inteligentă. RSA Identity Assurance are un concept mai larg de autentificare, de la o singură măsură de securitate la un model holistic de încredere în identitate care definește modul în care este utilizat un cont și care sunt capabilitățile acestuia. Utilizarea conturilor de încredere sporește securitatea tranzacțiilor zilnice și oferă suport pentru noi modele de afaceri , garantând accesul securizat pentru angajați , clienți și parteneri și menținând echilibrul necesar între risc , cost și comoditate . Acest software îndeplinește următoarele sarcini:

Software-ul RSA® Authentication Manager este componenta de management a sistemului RSA SecurID®. Această soluție gestionează cererile de autentificare și gestionează centralizat politica de autentificare a utilizatorilor. Lucrând împreună cu autentificatorii RSA SecurID și agenții de autentificare RSA®, soluția oferă autentificarea utilizatorilor în doi factori și acces securizat la o mare varietate de VPN-uri, rețele wireless, aplicații web, aplicații de afaceri și sisteme de operare .

RSA Authentication Manager oferă performanță ridicată și scalabilitate cu funcții de gestionare, cum ar fi replicarea bazei de date , înregistrarea în jurnal și raportarea, suportul LDAP nativ și managementul bazat pe web . RSA Authentication Manager poate satisface nevoile organizațiilor de toate dimensiunile. Bazat pe o arhitectură multi-procesor de clasă enterprise , poate suporta de la douăzeci și cinci la câteva milioane de utilizatori pe un singur server , precum și sute de autentificări pe secundă. RSA Authentication Manager este utilizat în întreaga lume în sectoarele guvernamentale, bancare, producție, retail, high-tech și asistență medicală, inclusiv multe companii mici și mijlocii. Există două versiuni ale acestei soluții: Base Edition (versiunea de bază) și Enterprise Edition (versiunea corporativă).

Caracteristica de replicare a bazei de date

Caracteristica de replicare a bazei de date a RSA Authentication Manager oferă o mai mare flexibilitate de configurare a rețelei și echilibrare a sarcinii pentru a îmbunătăți performanța, reducând în cele din urmă costurile de gestionare. Versiunea de bază are un server principal și un server replica. Pe serverul principal, conturile de utilizator sunt gestionate și toate informațiile sunt copiate pe serverul de replica. Cererile de autentificare pot fi procesate de ambele servere; Agentul de autentificare RSA distribuie sarcina de lucru pe servere prin monitorizarea timpilor de răspuns și direcționarea cererii către serverul corespunzător pentru a optimiza performanța. Versiunea enterprise, care este concepută pentru companiile mijlocii și mari, are un server principal și până la cincisprezece servere replici într-un singur domeniu (tărâm de autentificare) și poate conecta până la șase domenii separate. Fiecare dintre serverele dintr-un sistem implementat poate fi un grup de 4 mașini, ceea ce face mai eficientă distribuirea sarcinii de lucru asociate sarcinilor de administrare și autentificare. Acest lucru permite administratorilor să monitorizeze autentificarea utilizatorilor pe sistemele lor în timp real, să actualizeze politicile de securitate în același timp și să proiecteze topologii globale de rețea pentru a îmbunătăți performanța rețelei.

Audit și raportare

RSA Authentication Manager păstrează o evidență a tuturor tranzacțiilor și acțiunilor utilizatorului, astfel încât administratorii să o poată utiliza ca instrument de auditare și raportare, precum și să efectueze verificări de conformitate. Conține șabloane de rapoarte care pot fi adaptate sarcinilor administrative, inclusiv raportarea activităților, excepțiilor, incidentelor și utilizarea sistemului. Pe lângă funcțiile de raportare, acest produs include și un monitor în timp real care afișează toate activitățile sau cele selectate de administrator într-un sistem implementat la nivel global.

Compatibilitate

RSA Authentication Manager este compatibil cu cele mai mari produse de rețea și sisteme de operare, inclusiv peste 400 de produse de la peste 200 de furnizori, deservind organizațiile cu flexibilitate maximă și protecție a investițiilor și oferindu-le flexibilitate maximă și protecție a investițiilor. Suportul încorporat pentru RSA Authentication Manager este oferit de producătorii de top de sisteme de acces la distanță, rețele private virtuale, sisteme de securitate, dispozitive fără fir, servere web și aplicații de afaceri .

Sunt acceptate următoarele sisteme de operare : Microsoft Windows Server 2003 , Sun Solaris , Red Hat Linux , SuSE Linux Enterprise Server , HP-UX , IBM AIX .

Suport LDAP

Suportul LDAP asigură integrarea cu Sun One și Microsoft Active Directory , RSA Authentication Manager și nu necesită sincronizare. Interfața de administrare bazată pe web RSA Authentication Manage nu necesită ca clientul să instaleze software și poate fi gestionată de pe orice computer cu o conexiune la Internet și un browser instalat .

RSA Credential Manager

RSA Credential Manager este conectat la interfața de gestionare a RSA Authentication Manager și nu necesită o instalare separată. Oferă funcții precum autoservire , permițând utilizatorilor finali să solicite diverse servicii, cum ar fi obținerea unei parole de la un token la cerere pentru acces de urgență sau furnizarea unui flux de lucru de rezervare (care permite administratorilor să creeze procese prin care solicitările sunt aprobate și se eliberează acreditările.

Agenți de autentificare RSA

Sarcina principală este de a solicita utilizatorului să introducă informații SecurID, să le trimită la serverul central și, în funcție de răspuns , să acorde sau să refuze accesul. Agenții asigură echilibrarea sarcinii prin determinarea timpului de răspuns al serverului replica și răspund în consecință.

Agentul de autentificare RSA este un software integrat în serverele de acces la distanță (RAS), firewall-urile și rețelele private virtuale (VPN) care asigură că tehnologia RSA SecurID va funcționa perfect în orice mediu de utilizator. În plus, agenții vă permit să securizați paginile web și aplicațiile pe un intranet sau extranet, protejând în același timp sistemele back-end critice.

Agenții pot oferi, de asemenea, acces securizat la domeniile și resursele NT găzduite pe servere UNIX, mainframe, sisteme mid-range și o serie de gazde vechi. Setul de instrumente software vă permite să creați agenți de utilizator pentru a proteja alte aplicații interne care sunt specifice unei anumite organizații.

Lista resurselor care pot fi protejate este imensă. Include servere Web, resurse de rețea, servere VPN și Dial-up, servere de e-mail, stații de lucru, servere pentru acces de la distanță la aplicații. O listă completă, precum și instrucțiuni de integrare, pot fi găsite pe site-ul producătorului. Dacă resursa necesară nu este în listă, autentificarea RADIUS este acceptată. Dacă acest lucru nu este suficient, există un API care vă va permite să scrieți singur agentul necesar.

Autentificatoare RSA SecurID

Același simbol poate să nu fie cel potrivit pentru toți atunci când vine vorba de alegerea autentificatorului potrivit pentru a echilibra securitatea organizației dvs., valoarea totală a întreprinderii și nevoile utilizatorilor finali. Cu o gamă largă de factori de formă ușor de utilizat, există autentificatoare RSA SecurID pentru a îndeplini o mare varietate de cerințe organizaționale și de aplicație.

RSA SecurID Hardware Token

Token-urile hardware RSA SecurID sunt fabricate cu asigurarea că nu veți avea costuri ascunse asociate cu jetoanele defecte. Alegând jetoanele RSA SecurID, care vin cu o garanție pe viață, organizațiile pot reduce costurile generale de distribuire a jetoanelor de înlocuire și pot reduce costurile generale de securitate, oferind în același timp o experiență de autentificare consecventă și ușor de utilizat pentru utilizatorii finali. Tokenurile hardware RSA SecurID vin într-o varietate de modele la îndemână care generează și afișează coduri noi la fiecare 60 de secunde.

Jetoane RSA SecurID sub formă de brelocuri

Modelele RSA SecurID SD600 [2] și SID700 [3] sunt brelocuri mici care pot fi atașate la un breloc și pot fi încadrate în buzunarul utilizatorului sau în carcasa mică de transport, oferind o durabilitate ridicată într-o formă fiabilă și portabilă.

Cel mai recent model din această linie este dispozitivul RSA SecurID SID800 [4] . Oferă o funcție de parolă unică, ca și alte modele, plus funcții suplimentare datorită portului USB încorporat și chipului inteligent . Acest dispozitiv poate fi folosit pentru a genera coduri de unică folosință, precum și pentru a stoca nume de utilizator, parole de autentificare Windows și certificate digitale care generează chei principale pentru mai multe metode de autentificare . În plus, atunci când RSA SecurID 800 este conectat, introducerea automată a codului token este activată, permițând aplicațiilor software token să introducă coduri direct de pe dispozitiv și eliminând nevoia ca utilizatorul să introducă codurile el însuși de la tastatură.

Jetoane pentru carduri inteligente RSA SecurID

Token de autentificare hardware de bază RSA SecurID, reprezentat de modelul RSA SD200. Acest dispozitiv are dimensiunea unui card de credit și oferă performanțe excelente, dar este garantat pentru fiecare dispozitiv de autentificare RSA SecurID. Este realizat din metal si are o grosime de aproximativ 5 mm.

Jetonul RSA SecurID SD 520 este similar cu SD200, dar are o tastatură numerică suplimentară. Codul PIN al utilizatorului este introdus pe acest panou. Ca rezultat, tokenul afișează nu doar un cod de simbol, ci o combinație de un cod PIN și un cod de simbol care este introdus în timpul autentificării. Acest token are un avantaj față de modelul anterior prin faptul că vă permite să asigurați siguranța codului PIN, chiar dacă sunt înregistrate apăsările de taste.

Autentificatoare software

Autentificatoare software RSA SecurID - Token-urile software folosesc același algoritm ca și token-urile RSA SecurID Hardware, eliminând nevoia utilizatorilor de a ține evidența dispozitivelor hardware. În loc să fie stocată în hardware-ul RSA SecurID, cheia simetrică este stocată în siguranță pe computerul sau smartphone -ul utilizatorului . Autentificatoarele software RSA SecurID ajută la gestionarea costurilor mai eficient, reducând în același timp numărul de articole necesare pentru a obține acces la rețea sau la activele corporative și eliminând necesitatea înlocuirii token-urilor în cazul în care cineva părăsește compania sau tokenul este pierdut.

Token-uri software RSA SecurID pentru smartphone -uri

Tokenurile soft RSA SecurID sunt disponibile pentru diverse platforme mobile, inclusiv dispozitivele BlackBerry , iPhone , Windows Mobile , Java ™ ME, Palm OS și Symbian OS UIQ. Integrarea jetoanelor RSA SecurID cu smartphone-urile facilitează lucrul angajaților companiei cu acestea. [5]

RSA SecurID Token pentru Windows și RSA SecurID Token pentru Mac OS X

RSA SecurID Token pentru Windows și RSA SecurID Token pentru Mac OS X sunt factori de formă convenabil instalați pe computerul dvs. , oferind integrare automată cu clienții de top prin acces de la distanță.

RSA SecurID Toolbar Token

RSA SecurID Toolbar Token, un token încorporat în browser, permite completarea automată a formularelor de aplicații web , cu accent pe securitate, folosind mecanisme anti-phishing.

RSA SecurID On-demand Authenticator

RSA SecurID On-demand Authenticator permite utilizatorilor să primească o parolă unică sub forma unui mesaj SMS livrat pe un telefon mobil sau pe e-mail. Utilizatorii solicită o parolă unică folosind autoservirea intuitivă a modulului web prin introducerea codului PIN . RSA SecurID On-demand Authenticator nu necesită un token hardware sau software. Aceasta este o alegere excelentă pentru utilizatorii care nu au nevoie să acceseze frecvent rețeaua de la distanță.

Descrierea procesului de autentificare

Când un utilizator solicită acces la o resursă, fie că este vorba despre un portal Web, o stație de lucru , un spațiu de stocare în rețea, un VPN sau un server Dial-up. În loc de o solicitare standard de conectare și parolă, sunt solicitate o autentificare și o parolă. Fraza de acces este reprezentată ca o combinație specială de un cod PIN (4 cifre pe care utilizatorul le amintește) și un cod de simbol (6 cifre care sunt afișate în prezent pe simbol). Utilizatorul trebuie pur și simplu să introducă aceste 2 numere în succesiune.

Agentul trimite informațiile furnizate de utilizator către server în formă criptată. Serverul stochează codurile PIN de utilizator și copiile soft ale tuturor jetoanelor înregistrate, astfel încât să poată verifica informațiile furnizate de utilizator.

În funcție de rezultatul verificării, agentul fie acordă utilizatorului acces la resursă, fie refuză accesul utilizatorului.

Descrierea algoritmului pentru obținerea unui cod token

Fiecare jeton corespunde unui număr aleatoriu de 128 de biți — vectorul generației inițiale (seed). De asemenea, în fiecare jeton este încorporat un ceas. Codul token este rezultatul algoritmului brevetat de RSA, care ia ca parametri timpul curent și vectorul de generație inițială Folosind codul token, este imposibil să restabiliți vectorul generației inițiale, deoarece algoritmul funcționează într-o singură direcție. [6]

Codul token este valabil un minut (se modifică o dată pe minut și o singură dată). Deoarece vectorii generației inițiale corespunzători token-urilor sunt stocați pe server, acesta poate restabili codul token-ului curent în orice moment folosind același algoritm . Pentru cazul în care ceasurile serverului și token-ul diferă, este prevăzută sincronizarea automată. Adică, dacă, de exemplu, ceasul jetonului mergea înainte, atunci serverul introduce valoarea de schimbare corespunzătoare unui anumit token în baza de date. Acest lucru se realizează datorită faptului că serverul calculează parola nu numai pentru minutul curent, ci și pentru minutele trecute și viitoare. Astfel, dacă PIN-ul introdus de utilizator este corect, iar codul token se potrivește cu minutele adiacente, atunci desincronizarea este luată în considerare pentru operațiuni ulterioare. [7]

Vulnerabilitatea tehnologiei

Vulnerabilitati teoretice

SecurID nu este protejat de atacurile man-in-the-middle . Un atacator poate bloca accesul unui utilizator și se poate conecta la server până când este generat următorul simbol de parolă.

O altă problemă este ghicirea aleatorie a parolei. SecurID încearcă să rezolve această problemă prin limitarea numărului de solicitări de autentificare în perioada de timp în care parola nu este regenerată.

Cea mai periculoasă și aproape fatală vulnerabilitate este pierderea sau furtul de jetoane.

Încălcarea securității în 2011

Plan de atac asupra SecurID:

  1. Mai mulți utilizatori sunt vizați pentru două atacuri de tip phishing, unul dintre utilizatori deschide un malware necunoscut
  2. Poison Ivy are acces de la distanță la computerul utilizatorului
  3. Atacatorul obține acces la conturile de utilizator și administrator, precum și la serviciile importante ale sistemului
  4. Datele au fost obținute de la serverele vizate de atac și puse spre distribuire
  5. Datele sunt transferate către furnizorul de găzduire al atacatorului folosind un fișier securizat prin ftp

Pe 17 martie 2011, RSA a anunțat că au fost victimele unui „atac cibernetic extrem de sofisticat”. Deși compania este încrezătoare că informațiile extrase nu au permis atacuri directe de succes asupra niciunuia dintre clienții RSA SecurID, se temea că aceste informații ar putea fi folosite pentru a reduce eficiența implementării actuale a autentificării cu doi factori, ca parte a unui atac mai larg. . EMC (compania-mamă a RSA) a cheltuit 66,3 milioane de dolari pentru a remedia o breșă în sistem pentru a investiga atacul, a-și îmbunătăți sistemul IT și a monitoriza operațiunile clienților corporativi, în conformitate cu decizia vicepreședintelui executiv EMC și a directorului financiar David Gulden, în timpul unei conferințe telefonice cu analiștii.

Atacatorul a trimis două e-mailuri diferite de phishing pe parcursul a două zile, care au fost îndreptate către două grupuri mici de angajați. Scrisorile au fost numite „Planul de recrutare 2011”. E-mailurile au fost tratate suficient de bine pentru a păcăli unul dintre angajați să le extragă din spam și să deschidă fișierul Excel atașat. Era o foaie de calcul numită „2011 plan.xls”. Tabelul conținea un program rău intenționat care instalează un program backdoor printr-o vulnerabilitate Adobe Flash [8] . Ca o notă secundară, Adobe a lansat acum un patch pentru acest malware, astfel încât să nu mai poată fi folosit pentru a injecta malware pe mașinile corelate. Următorul pas, ca și în cazul oricărei amenințări persistente avansate (APT), este să instalați un fel de instrument de administrare la distanță care să permită atacatorilor să controleze mașina. În acest caz, arma preferată este o variantă Poison Ivy plasată în modul de conectare inversă, ceea ce ar face mai dificil de detectat. Metode similare au fost documentate în multe ACT-uri anterioare, inclusiv GhostNet. Odată ce accesul la distanță este stabilit, atacatorul, ca în orice APT tipic, începe să analizeze în liniște pentru a stabili rolul lucrătorilor și nivelul lor de acces. Dacă acest lucru nu este suficient pentru scopurile atacatorilor, aceștia vor căuta conturi de utilizator cu privilegii mai mari. Datele sunt filtrate prin fișiere criptate prin FTP de la o mașină compromisă către intruși.

Pe 21 martie 2011, prin email și printr-o scrisoare deschisă, șeful companiei a anunțat [9] că informațiile furate din rețeaua internă a companiei ar putea fi folosite pentru a pirata sistemele protejate de SecurID. iar în mai 2011, după o încercare de hack în producătorul de echipamente militare Lockheed Martin [10] , s-a dovedit că temerile nu erau neîntemeiate. Au existat, de asemenea, zvonuri că L-3 Communications a fost atacat în aprilie . Șeful Securității RSA, Art Coviello, a recunoscut că RSA nu a emis o declarație mai devreme, deoarece le era frică să ofere hackerilor o cale pentru alte atacuri. Cu toate acestea, acum este clar că hackerii care au orchestrat atacul asupra Lockheed Martin aveau informații despre cum să ocolească tehnologiile RSA și, astfel, s-a dovedit că compania doar a informat greșit clienții despre siguranța produselor lor și riscurile cu care se puteau confrunta. Pe 6 iunie 2011, RSA a promis că va înlocui gratuit toate jetoanele SecurID, care sunt folosite de peste 30.000 de întreprinderi și organizații guvernamentale din întreaga lume.

Piața OTP

Potrivit companiei de analiză Frost & Sullivan pentru anul 2008, volumul pieței globale de parole unice (One Time Password, OTP) a fost estimat la 430 de milioane de dolari, iar până în 2015 ar putea ajunge la 690,4 milioane de dolari, creșterea medie anuală. pentru această perioadă a fost de 7,8 %. Și conform experților, această piață continuă să se dezvolte. Principalul motor al dezvoltării sale este tendința în creștere de a înlocui dispozitivele de autentificare hardware cu carduri inteligente și cererea tot mai mare de software OTP pentru aplicații corporative și de retail.

În 2008, Frost & Sullivan a efectuat un sondaj asupra a 20 de furnizori de autentificare hardware. Rezultatele au arătat că jucători consacrați precum RSA Security și VASCO Data Security International, Inc. , a continuat să fie lideri, reținând aproximativ 80% din piață, în timp ce trebuie menționat că 62% din piață aparținea RSA. Principalii concurenți ai companiilor lider sunt producătorii de carduri inteligente.

Pe măsură ce nevoile clienților cresc de-a lungul timpului, companii precum RSA, Vasco, Aladdin Knowledge Systems și ActivIdentity , de exemplu, creează noi soluții pentru a răspunde cererilor specifice care se bazează nu numai pe dispozitive de autentificare, ci combină mai multe soluții de autentificare. Mulți producători au adăugat la produsele lor jetoane USB , carduri inteligente , software OTP și sisteme de gestionare a autentificării. [unsprezece]

Versiune gratuită

Există o versiune de încercare disponibilă gratuit. De asemenea, în această ofertă este inclusă o licență de server cu o durată de viață limitată, limitată la doi utilizatori și două jetoane SID700. Această versiune are funcționalitate completă, care vă permite să treceți la utilizarea comercială fără setări suplimentare. [12]

Vezi și

Note

  1. Cel mai respectat site al companiei de securitate informatică a piratat Arhivat 4 martie 2016.  (Rusă)
  2. Informații RSA SecurID SD 600 arhivate la 4 februarie 2011 la Wayback Machine 
  3. Informații despre RSA SecurID SID 700 Arhivat la 10 ianuarie 2013 la Wayback Machine 
  4. Informații despre RSA SecurID SID 800 Arhivat la 11 ianuarie 2013 la Wayback Machine 
  5. RSA Security pentru a permite autentificarea omniprezentă, deoarece tehnologia RSA SecurID(r) ajunge la dispozitivele și software-ul de zi cu zi;. — Sârmă de presare M2 | HighBeam Research: Comunicate de presă online
  6. TOTP: Algoritm de parolă unică bazat pe timp . Data accesului: 19 decembrie 2012. Arhivat din original pe 25 noiembrie 2012.
  7. O introducere cuprinzătoare la autentificarea utilizatorului RSA SecurID®  ( link descendent  )
  8. CVE-2011-0609 . Consultat la 18 decembrie 2012. Arhivat din original la 21 iulie 2013.
  9. Scrisoare deschisă către clienții RSA , arhivată pe 19 martie 2011 la Wayback Machine 
  10. Resurse corporative Lockheed Martin atacate de hackeri necunoscuți Arhivat 13 aprilie 2014 la Wayback Machine  (rusă)
  11. Starea actuală a pieței de parole unice Arhivat 4 martie 2016.  (Rusă)
  12. Autentificare în doi factori bazată pe tehnologia RSA SecurID Arhivat 16 martie 2013 la Wayback Machine  (rusă)

Link -uri